レジリエンスの必要性を感じた2022年
──2022年は国内外でサイバーセキュリティ被害が大きく注目された年でした。 小玉様が特に注目されたセキュリティトピックはどういったものがありましたか?
2022年、特に印象に残ったワードとしては「ランサムウェアのコモディティ化」や「ワイパー型攻撃の登場」です。ランサムウェアは、攻撃に至るまでのプロセスが分業化・サービス化・ビジネス化され、専門の知識がないアクターでもサイバー攻撃を行う武器を手に入れられるようになっています。
いわゆるRaaS(Ransomware as a Service)というサービスを使えば、様々なサイバー攻撃が容易にできるだけでなく、どのターゲットを狙えばいいかといった情報さえも手に入るとされています。
特に昨年、ランサムウェアに関しては脆弱な外部公開アセットを持つ海外現地法人が起点となって侵入されるケースが散見されました。NECでは幸いランサムウェア被害は出ておらず、レッドチームの攻撃診断によるグローバルなサイバーリスクアセスメント(CRA)の効果があったと考えています。
「ワイパー型攻撃の登場」では、サイバー攻撃による民間インフラへの破壊行為などを受け、IoTなどの技術が進化する一方で、それらを守るセキュリティなどが追いつかなければ被害に遭ってしまうということを大きく痛感させられた1年でした。我々も内部ネットワークを監視していますが、あらためて、常に脅威が侵入してくる前提で内部攻撃対策やレジリエンス強化を行う必要があると感じています。
ワイパー型攻撃の脅威が表面化した際はその攻撃手段が民間企業にとっても脅威だったことから、弊社ではEDRなどのソリューション導入を一層推進することで、さらなるセキュリティ検知能力の向上に努めています。さらに、脅威インテリジェンスを収集・分析することにより、事前防御の対応ができる体制になっており、大きなリスクにはなっていません。
セキュリティカルチャーの変革へ
また、2022年はデータドリブンなセキュリティカルチャー変革に取り組んだ年でした。社員のアウェアネス向上に向け、サイバー攻撃の状況や脅威・リスクをグローバルに可視化し、経営層から社員全員がそれぞれの立場でリスクへの認識や判断などのアクションを可能にする「サイバーセキュリティダッシュボード」は革新的であり、大きな成果を実感しています。
加えて、東京2020オリンピック・パラリンピック競技大会に向けて構築したセキュリティ体制が、レガシーとして機能していることが印象深いですね。
大会を見据えたセキュリティ対策強化や「この状態になった際はこうしよう」といった感度を上げた運用レベルの設定、そしてそれらを回せる体制と仕組みが、レガシーとして今に引き継がれています。特に大会開催前後に大きな問題となった、企業を騙る偽サイトを発見する技術などは、この時期に大きく進歩させました。
また、テレワークを前提とし、関係役員と円滑にコミュニケーションが取れる仕組みをこの時期に構築したことで、問題があればすぐリモートでつなぐような体制ができており、組織としてなんらかのセキュリティリスクがあった際には迅速に対応できる状態になっています。
このように、レジリエンス・インテリジェンス・アウェアネスの観点で多面的な対策強化を行ったことにより、第三者の視点で外部評価・格付けにおいても非常に高評価をいただくことができました。
